Εγκατάσταση Bro IDS στο Ubuntu 16.04

Εισαγωγή

Το Bro είναι ένα ισχυρό πλαίσιο ανάλυσης δικτύου ανοιχτού κώδικα. Η κύρια εστίαση του Bro είναι στην παρακολούθηση της ασφάλειας του δικτύου. Το Bro παρέχει επίσης μια πλατφόρμα για γενική ανάλυση της κυκλοφορίας, καθώς και βοήθεια για την αντιμετώπιση προβλημάτων και μετρήσεις απόδοσης. Προσφέρει εκτεταμένα αρχεία καταγραφής που περιλαμβάνουν μια τεράστια γκάμα δεδομένων σε καλά δομημένα αρχεία καταγραφής κατάλληλα για μετεπεξεργασία με εξωτερικές εφαρμογές. Αυτά τα αρχεία καταγραφής περιλαμβάνουν:

• Όλες οι συνεδρίες HTTP με τις αιτούμενες διευθύνσεις URL, τις κεφαλίδες κλειδιών, τους τύπους MIME και τις απαντήσεις διακομιστή.
• Αιτήματα DNS με απαντήσεις.
• Βασικό περιεχόμενο των συνεδριών SMTP.
• Πιστοποιητικά SSL.

Η Bro προσφέρει επίσης μια σειρά εργασιών ανάλυσης και ανίχνευσης όπως:

• Εξαγωγή αρχείων από συνεδρίες HTTP.
• Ανίχνευση επιθέσεων brute-force SSH.
• Ανίχνευση κακόβουλου λογισμικού μέσω διασύνδεσης με εξωτερικά μητρώα.
• Αναφορά ευάλωτων εκδόσεων λογισμικού που εμφανίζονται στο δίκτυο.
• Εντοπισμός επιθέσεων SQL injection.

Το Bro μπορεί να εγκατασταθεί ως αυτόνομο σύστημα ή ως μέρος ενός Bro Cluster που συνδέει ένα σύνολο συστημάτων για την από κοινού ανάλυση της κίνησης ενός δικτύου. Σε αυτό το σεμινάριο θα εγκαταστήσουμε το Bro από την πηγή σε αυτόνομη λειτουργία.

Προαπαιτούμενα

• Μια παρουσία Ubuntu 16.04 με τουλάχιστον 1 GB μνήμης.
• Ένας χρήστης sudo χωρίς root.

Βήμα 1: Ενημέρωση συστήματος

Πριν ξεκινήσετε την εγκατάστασή μας, συνιστάται να ενημερώσετε το σύστημά σας.

sudo apt-get update
sudo apt-get upgrade

Βήμα 2: Εγκατάσταση Εξαρτήσεων

Στη συνέχεια θα χρειαστεί να εγκαταστήσουμε όλα τα απαιτούμενα πακέτα στον διακομιστή σας.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

Βήμα 3: Εγκαταστήστε το Bro

Στη συνέχεια θα εγκαταστήσουμε το Bro 2.5.2 από την πηγή. Επισκεφτείτε τη σελίδα λήψης του Bro για να βεβαιωθείτε ότι χρησιμοποιείτε την πιο πρόσφατη έκδοση.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Βήμα 4: Ρύθμιση παραμέτρων Bro

Πρώτα θα πούμε στον Bro ποια διεπαφή θα θέλαμε να παρακολουθήσουμε. Αυτό γίνεται με την επεξεργασία του αρχείου διαμόρφωσης /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Βρείτε τη γραμμή interface=eth0και αλλάξτε τη στη διεπαφή σας.

interface=ens3

Μπορείτε να βρείτε ποια διεπαφή χρησιμοποιείτε με τα παρακάτω.

ifconfig

Στη συνέχεια θα πρέπει να πούμε στον Bro πού να στείλει το email του αρχείου καταγραφής προσθέτοντας τη διεύθυνση email σας στο /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Βρείτε τη MailToγραμμή και προσθέστε τη διεύθυνση email σας.

MailTo = sammy@example.com

Βήμα 5: Εκκίνηση Bro

Ο Bro έχει αρχίσει να χρησιμοποιεί το BroControl, το οποίο θα πρέπει να εγκαταστήσουμε.

sudo /nsm/bro/bin/broctl
install
exit

Τώρα μπορείτε να ξεκινήσετε Bro.

sudo /nsm/bro/bin/broctl deploy

Στη συνέχεια θα ρυθμίσουμε το Bro να εκτελείται κατά την εκκίνηση προσθέτοντάς το στο /etc/rc.local.

sudo nano /etc /rc.local

Προσθέστε την ακόλουθη γραμμή, κλείστε και αποθηκεύστε το αρχείο.

/nsm/bro/bin/broctl start

Στη συνέχεια θα προσθέσουμε μια εργασία cron.

crontab -e

Προσθέστε τα ακόλουθα για να διατηρήσετε τον Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

Βήμα 6: Δοκιμή Bro

Για να δοκιμάσουμε Bro, θα προβάλουμε το conn.logαρχείο σε πραγματικό χρόνο χρησιμοποιώντας το tail.

tail -f /nsm/bro/logs/current/conn.log

Θα μπορείτε να δείτε την έξοδο από το Bro καθώς εκτυπώνεται στο τερματικό σας.